本发明属于移动通信网七号信令安全防护技术领域,特别是涉及一种异常MAP操作的判别处理方法。
背景技术:
七号信令是由ITU-T定义的一组电信协议。最早的七号信令国际标准在1988年提出,为电话呼叫控制应用而设计,为支持移动通信(漫游、短信、数据业务等业务),国际标准化组织ESTI和3GPP等,为七号信令协议体系增加了新的协议。目前,七号信令协议已经发展为支持呼叫控制、数据查询、路由转发以及各种移动业务的协议。
传统的七号信令基于TDM网络承载,后来发展为基于IP网络承载,如图1所示。下面对TDM承载的七号信令协议栈进行简单说明。MTP1协议层定义了数字信令链路的物理层特性;MTP2协议层提供点到点传输和流量控制、消息顺序确认及检错功能;MTP3协议提供路由功能;SCCP协议层根据用户对业务的不同需求提供连接或无连接业务,完成不同质量要求的业务传递;TCAP协议层是事务处理能力应用部分;MAP是七号信令最核心的应用层协议,其全称为“移动应用部分”。信令系统不同节点间通过MAP操作规程的交互(或者称为MAP信令消息交互)实现对移动通信用户的移动性管理、呼叫处理、补充业务、短消息等的处理功能。MAP协议规范中(MAP协议规范具体可参见3GPP TS 29.002和3GPP2 N.S0005)定义了不同MAP操作的名称、功能以及操作的发起方和接收方。MAP操作的发起方和接收方是指信令系统的不同节点,具体包括MSC/VLR、HLR、SCP、SMC、GMLC等。信令系统的节点,又称为信令点SP。SP之间可以通过直连方式组网,也可以通过部署在本地的信令转接点STP进行互相之间的信令交互。STP自身采用分层方式组网,根据部署位置不同,又分为本地STP,即LSTP,高级STP,即HSTP,国际STP,即ISTP。通常,我们把由不同SP和不同的STP组成的信令系统,称为七号信令系统。对移动通信网而言,具有漫游和互通协议的运营商网络,其七号信令系统是互联互通的。
曾经很长一段时间,七号信令系统被视为封闭的可信网络,其安全主要依赖运营商之间的相互信任机制。随着运营商向第三方商用业务提供者开放七号信令网络接口,七号信令网络不再封闭。对于移动通信网中的七号信令系统而言,系统中的核心节点,如HLR、VLR、SCP等,存储了移动用户几乎所有的用户信息,包括位置信息、用户标识、鉴权参数、计费信息、业务信息以及呼叫权限等,理论和事实均已证实,这些用户数据存在被跨网远程获取、篡改和破坏的安全威胁,而安全威胁的主要途径是黑客或犯罪分子利用MAP协议的操作流程,远程访问信令系统中的HLR、VLR、SCP等设备,通过获取、破坏或篡改用户数据达到其攻击目的。自2014年以来,关于七号信令系统安全问题的报道逐年增多,该问题已经引起全球相关标准化组织和学者的关注。
技术实现要素:
为了克服现有技术中存在的缺陷,本发明的目的是提供一种异常MAP操作的判别处理方法,可以有效检测和处理不同归属网络间交互的非法或者非正常使用的MAP信令操作,保护了移动通信网用户数据的安全。
为了实现上述目的,本发明采用以下的技术方案:
本发明提供一种异常MAP操作的判别处理方法,包含以下步骤:
将MAP操作按照操作的发起方和接收方信令点类型进行分类,并选出发起方是用户的服务VLR、接收方是HLR的MAP操作,以及发起方是HLR、SCP或者GMLC、接收方是任意信令点类型的MAP操作;
在不同归属网边界的STP处,过滤来自其他归属网络的MAP协议消息;
对于MAP协议规范中定义的发起方是用户的服务VLR、接收方是HLR的MAP操作进行判别处理;对于MAP协议规范中定义的发起方是HLR、SCP或者GMLC、接收方是任意信令点类型的MAP操作进行判别处理。
进一步地,所述对于MAP协议规范中定义的发起方是用户的服务VLR、接收方是HLR的MAP操作进行判别处理,过程如下:
步骤a,提取MAP消息中携带的“用户标识”类参数和“发送方标识”类参数,“用户标识”类参数是用户的IMSI或者是用户的手机号码MSISDN,“发送方标识”类参数用来标识MAP消息的发起方身份或者地址;
步骤b,利用步骤a提取的“用户标识”类参数构造一种用来查询用户当前位置的MAP消息,并向用户的归属HLR发送,并等待该消息的返回结果;
步骤c,收到返回消息后,提取消息中携带的用户“位置”类参数的取值,并与步骤a中提取的“发送方标识”类参数的取值进行对比;如果两个参数取值标识的不是同一个VLR,则认为该MAP消息异常,否则认为消息正常。
进一步地,对于MAP协议规范中定义的发起方是HLR、SCP或者GMLC、接收方是任意信令点类型的MAP操作进行判别处理,过程如下:
提取MAP消息中携带的“用户标识”类参数,“用户标识”类参数是用户的IMSI或者是用户的手机号码MSISDN;
识别“用户标识”的归属网络,即,鉴别用户的IMSI或者MSISDN号码是否是本归属网络的用户号码,如果是本归属网络的号码,则认为消息异常,否则,认为消息正常;或者,如在已知其他归属网络配置的情况下,提取MAP消息中的“发送方标识”类参数,判别MAP消息的发起方与用户的IMSI或者MSISND号码是否归属于同一个网络,如果不是,则认为消息异常,否则,认为消息正常。
与现有技术相比,本发明具有以下优点:
本发明的一种异常MAP操作的判别处理方法,可以有效检测和处理不同归属网络间交互的非法或者非正常使用的MAP信令操作,保护了移动通信网用户数据的安全,这里的归属网络是相对不同的网络边界而言的,如对中国境外的移动通信网络而言,中国境内的移动通信网络是境内移动通信用户的归属网络,对境内移动通信网络而言,一个省的移动通信网络就是本省移动通信用户的归属网络,该方法的有效部署,对于归属网内交互的异常MAP信令操作,也可以实现有效判别和处理。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是七号信令协议栈的结构示意图;
图2是本发明提供的一种异常MAP操作的判别处理方法的流程示意图。
具体实施方式
本发明的核心是提供一种异常MAP操作的判别处理方法,可以有效检测和处理不同归属网络间交互的非法或者非正常使用的MAP信令操作,保护了移动通信网用户数据的安全。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有实施例,都属于本发明保护的范围。
请参照图2,图2是本发明提供的一种异常MAP操作的判别处理方法的流程示意图,该方法包括:
步骤S201,将MAP协议规范中定义的所有MAP操作按照操作的发起方和接收方信令点类型进行分类,并选出发起方是用户的服务VLR、接收方是HLR的MAP操作,以及发起方是HLR、SCP或者GMLC、接收方是任意信令点类型的MAP操作;
步骤S202,在不同归属网边界的STP处,过滤来自其他归属网络的MAP协议消息,对满足步骤S201中规定的两类操作按步骤S203描述的方法进行判别处理;
步骤S203,对于MAP协议规范中定义的发起方是用户的服务VLR、接收方是HLR的MAP操作进行判别处理;对于MAP协议规范中定义的发起方是HLR、SCP或者GMLC、接收方是任意信令点类型的MAP操作进行判别处理。
进一步地,对于MAP协议规范中定义的发起方是用户的服务VLR、接收方是HLR的MAP操作进行判别处理,过程如下:
步骤a,提取MAP消息中携带的“用户标识”类参数和“发送方标识”类参数,“用户标识”类参数是用户的IMSI或者是用户的手机号码MSISDN,“发送方标识”类参数用来标识MAP消息的发起方身份或者地址;所述MAP消息的发起方地址也可以从七号信令的SCCP层协议消息的“原地址”参数字段中提取;
步骤b,利用步骤a提取的“用户标识”类参数构造一种用来查询用户当前位置的MAP消息,并向用户的归属HLR发送,并等待该消息的返回结果;
步骤c,收到返回消息后,提取消息中携带的用户“位置”类参数的取值,并与步骤a中提取的“发送方标识”类参数的取值进行对比;如果两个参数取值标识的不是同一个VLR,则认为该MAP消息异常,否则认为消息正常。
进一步地,对于MAP协议规范中定义的发起方是HLR、SCP或者GMLC、接收方是任意信令点类型的MAP操作进行判别处理,过程如下:
提取MAP消息中携带的“用户标识”类参数,“用户标识”类参数是用户的IMSI或者是用户的手机号码MSISDN;
识别“用户标识”的归属网络,即,鉴别用户的IMSI或者MSISDN号码是否是本归属网络的用户号码,如果是本归属网络的号码,则认为消息异常,否则,认为消息正常;或者,如在已知其他归属网络配置的情况下,提取MAP消息中的“发送方标识”类参数,判别MAP消息的发起方与用户的IMSI或者MSISND号码是否归属于同一个网络,如果不是,则认为消息异常,否则,认为消息正常。
为便于更直观、清楚地了解本发明的一种异常MAP操作的判别处理方法,下面举例说明。
在不同归属网络的STP处部署MAP操作异常判别处理设备,该设备对来自其他归属网络的MAP协议消息进行过滤和判别处理,通过过滤选出满足如下条件的MAP消息:一是发起方是用户的服务VLR、接收方是HLR的MAP操作;二是起方是HLR、SCP或者GMLC、接收方是任意信令点类型的MAP操作。具体的判别处理方法根据上述选出的两类MAP消息分别采用不同的处理方法。
下面结合具体的MAP操作实例对本发明提出的异常判别处理方法进行说明。
以3GPP TS 29.002 MAP协议规范为例,选出该规范中定义的分别满足上述两种条件的两种MAP操作进行说明。
发起方是用户的服务VLR、接收方是HLR的MAP操作,以MAP_PURGE_MS操作为例。该操作在移动通信网中的一个应用场景是,用户关机时,该用户当前的服务VLR给HLR发送一个操作类型为MAP_PURGE_MS的MAP消息,通知HLR删除用户位置并标注用户状态。从MAP_PURGE_MS的应用场景,我们可以分析,该消息的合法发起方应该是当前为用户服务的VLR,其他发起方,均可认为是非法或者是对该MAP操作的非正常使用,这也是我们对这类MAP操作进行异常判别处理的依据。
发起方是HLR的MAP操作,以MAP_CANCEL_LOCATION操作为例。该操作的一个应用场景是,用户从一个VLR(记作VLR1)服务区漫游到另外一个VLR服务区(记作VLR2)时,其归属HLR收到VLR2发送的位置更新请求时,向VLR1发送操作类型为MAP_CANCEL_LOCATION的MAP消息,通知VLR1删除该用户的数据。从MAP_CANCEL_LOCATION的应用场景,我们可以分析,该消息的合法发起方应该是用户的归属HLR,其他发起方,均可认为是非法或是对该MAP操作的非正常使用,这也是我们对这类MAP操作进行异常判别处理的依据。
下面具体说明对操作类型为MAP_PURGE_MS的MAP消息进行异常判别处理的方法。
1)提取消息中的“IMS”和“VLR号码”参数;
2)构造一个操作类型为MAP-ANY-TIME-INTERROGATION的MAP消息,并发送给用户的归属HLR,查询用户的位置信息。消息中的“IMSI”参数的取值填写步骤1)中从MAP_PURGE_MS中提取的“IMSI”参数取值;
3)从MAP-ANY-TIME-INTERROGATION的响应消息中提取用户的位置信息,并与步骤1)提取的“VLR号码”进行比对,验证MAP_PURGE_MS消息的发起方是否是用户当前的服务VLR。如果MAP_PURGE_MS消息的发起方不是用户当前的服务VLR,则认为该MAP_PURGE_MS消息异常。
对操作类型为MAP_CANCEL_LOCATION的MAP消息进行异常判别处理的方法是提取消息中的“IMSI”参数,并根据IMSI取值鉴别该IMSI是否是本归属网络的用户IMSI,如果是,则认为消息异常,否则,可以认为消息正常。
下面说明鉴别IMSI是否是本归属网络用户IMSI的具体方法。
IMSI由15位数字组成,其中前三位是移动国家码,用于标识用户所属的国家,如中国的移动国家码是460;第4、5位是移动网号,用于标识用户所归属的移动通信网,如中国移动的移动网号为00;后面10位是用户号码,用于标识同一移动网络中的不同用户,中国三大移动运营商通常把IMSI的最后10位号码,根据用户所归属的省份,进行了号段区分,从号段就可以看出用户所归属的省级移动通信网。
根据IMSI号码的组成,可以看出,要识别一个IMSI是否是国内网络归属用户的IMSI,只需分析其移动国家码字段的取值是否是460;要识别IMSI归属于哪个移动网络运营商,分析移动国家码和移动网号就可以了;要识别IMSI归属于哪个省级移动网络运营商,除了要识别移动国家码和移动网号外,还要识别用户号码部分的相关号段,具体分析哪个号段,由运营商的号段规划决定。
要说明一点是,本发明提出的对类型为“发起方是用户的服务VLR、接收方是HLR”的MAP操作的异常判别处理方法,也适用于同一个归属网内交互的此类MAP操作的异常判别处理。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来讲是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽范围。